我想知道 whonix 如何设法阻止不需要的 UDP 流量,即所有 UDP 流量但与 DNS 相关的 udp 流量。我查看了工作站和网关中的 iptable 规则。工作站中没有 iptable 规则。所以工作站似乎没有阻止 UDP 流量。然而,网关中有很多 ip-table 规则。
我一一查看了网关的iptable规则,但也找不到任何与udp相关的阻止规则。
那么,这个udp流量是如何被阻止的呢?
答案1
从 Whonix 8 的角度回答这个问题。链接指向 Whonix 8 源代码。
一般来说 Whonix 的防火墙都是白名单防火墙。这意味着,他们对所有链(输入、转发、输出)使用策略丢弃,并使用丢弃或拒绝规则作为最后规则。所有未明确列入白名单的流量都将被丢弃或拒绝(取决于链)。
Whonix-Workstation 防火墙与此无关。它是一个非强制性的可选防火墙,默认情况下处于禁用状态。见其手册页以获得更深入的解释。
如果你要使用它,下面的规则加上强制,那只能TCP离开。
## The next rule ensures, that only tcp can leave and achieves the desired result from (4).
iptables -A OUTPUT ! -p tcp -j REJECT --reject-with icmp-port-unreachable
一般来说,-p tcp意思是“仅TCP”。这里! -p tcp指的是除 之外的所有协议TCP。
Whonix-网关防火墙是这里必不可少的重要部分。
UDP它将流向端口53( ) 的流量列入白名单DNS,并将其重定向到 Tor 的DnsPort。搜索防火墙脚本-p udp --dport 53查看相关规则。它列入白名单并重定向的其他流量是TCP。由于政策下降(作为安全网)和/或被最后一条规则下降/拒绝(取决于链),休息被阻止。
取决于链条......在有人问我这是什么意思之前。
- 输入:已丢弃
- 转发:拒绝
- 输出:拒绝
全面披露:
我是 Whonix 的维护者。